php 可以在我的电脑中需要任何 php 文件吗?
我把apache www根文件夹设置为d:\phpnow\htdocs,之前我以为php只能要求这个文件夹下的php文件,比如require('laji/hello/a.php');
今天我发现php可以在我的PC上加载任何php文件,只需要完整路径。
如何预防?它对 Web 服务器不应该是安全的。
问问题
116 次
3 回答
2
PHP 可以将服务器上的任何文件包含在其被监禁的限制内(如果有的话)。在这种情况下,您的计算机就是服务器。这不是安全问题,因为远程服务器无法访问您的文件系统。
于 2013-01-27T09:42:57.280 回答
2
php 可以在我的电脑中需要任何 php 文件吗?
运行 PHP 程序的用户有权访问的任何文件。(也就是说,文件系统权限)。
如何预防?
限制文件系统的权限或 chroot 服务器,使其在沙盒环境中运行。(我不知道在 Windows 上是否可以进行 chrooting)
它对 Web 服务器不应该是安全的。
这是完全安全的,除非:
- 您允许不受信任的用户在您的 PC 上安装他们自己的 PHP 程序(另请参阅What do you recommend for setting up a shared server with php)
- 您允许通过未过滤的用户输入选择文件系统上的文件路径
于 2013-01-27T09:49:59.450 回答
0
您可以使用文件拒绝访问目录,.htaccess因为您使用 Apache 运行 php。
如果你想阻止直接访问整个包含文件夹,你可以放一个.htaccess文件(文件只有扩展名,没有文件名。你可以使用记事本输入代码并将其保存为带有引号的“.htaccess”,称为绝对命名) 在包含的文件夹中;
deny from all
如果你想禁用目录列表,这里有一个教程:
htaccess 中的目录列表。允许、拒绝、禁用、启用 .htaccess 中的目录列表
你可以参考这个 Stack Overflow 问题.htaccess 拒绝访问文件夹
只是谷歌文件夹访问拒绝使用htaccess,你可以找到很多东西。
于 2013-01-27T10:06:13.043 回答